摘 要:随着科技飞速发展,互联网数据中心行业蒸蒸日上,越来越多的问题也会出现,比如说网络安全问题。网络设备安全问题是一大难题,安全事件发生率非常高。因此,改善数据中心的网络设备安全防护刻不容缓。各种黑客攻击、各种病毒隐藏,这些都威胁着网络安全。攻击会导致网络不可用,严重影响使用者的心情。本文针对数据中心的安全现状,分析其中的不足之处和加强措施,进一步探究网络安全的健壮性,有效制止一些病毒和攻击,降低网络安全事故的发生。
关键词:数据中心;网络设备;安全防护
大数据时代到来,互联网成为了人人都要学习的事物。我国的各行各业都离不开互联网,家庭办公、外出办业务都要使用互联网技术,互联网技术有效节省了人们的时间,增强了业务水平,这关系到人们自身的利益。互联网的网络设备安全保证了整个网络的安全。目前针对数据中心的网络攻击和病毒主要有这几类:一类直接针对网络设备,造成内存急速消耗,结果可能使网络中断;另一种采用了大数据包的攻击,使宽带拥堵不堪,从而影响网络性能;还有采用小数据包的攻击,造成网络设备转发负载加重,影响网络性能。
1 网络安全防护中的安全隐患
整个网络安全系统会受到多方面的影响,比如路由器、交换机等等,如果中间一个方面出了问题,便会造成大量私密信息泄露,后果将不堪设想。网络黑客为了窃取很多隐私便会设计多种多样的攻击软件,尤其是数据中心这种会给黑客不菲利益的内容,黑客会不停的攻击窃取资源,让企业和公司苦恼不已,无法从根源上解决这个问题时,企业便会受到名誉危机、数据泄露危机等等,给大家的生活造成很多重大负面影响。因此网络设备安全防护刻不容缓,对我国的互联网行业有重大意义,能够带领人们更优质地进入信息化和现代化,让我国的互联网行业飞速发展。
2 加强防护措施
2.1隔离数据中心与其他网络区域
针对企业网络,企业会根据不同的功能去划分区域,把网络也划分为不同的区域。与此同时把每个区域都设置上权限,使其他人没有访问权限,禁止看到企业内部网络信息。但还网络漏洞还是存在的,这会导致数据流失。数据作为网络的核心至关重要,数据中心更是重中之重,所以应该将这个网络区域隔离,设置独立的区域,严格筛查数据中心的数据流。
2.2增强防火墙的安全
在数据中心领域设置防火墙,这个方法可以保障网络安全,当然这也是最有效的措施之一。在连接口处设置防火墙,能够有效拦截黑客的攻击增强数据中心的安全性。其次,防火墙可以有效控制数据中心不被外界人员访问,保护隐私,而且防火墙能够对一些网络异常进行报警处理,使人们发现网络异常并及时采取措施。防火墙还可以报警,在第一时间向管理者报告异常行为,并可以有效进行安全防护。我们可以这样说,防火墙的存在起到了监视和报警作用,同时防火墙上存在的地址转换技术可以把内部的地址隐藏起来,保障服务器安全。因此要想对数据中心的网络安全进行有效防护,首先要保证防火墙的安全防护,提高防火墙的安全度是保障数据中心安全防护的重要措施。
2.3防御工作要做好
设置防火墙有效防止了非法入侵分子的访问,使他们进入不了数据中心,但无法从根本解决安全隐患,一些更高层次的入侵分子会采用更高手段进行攻击,所以只靠设置防火墙是远远不够的。网络安全是一个整体,对于非法进入数据中心的非法分子还不算最可怕,最可怕的是应用层的非法攻击,防火墙的设置对此毫无作用,这就需要更高手段进行防护。所以要在防火墙之上设置进一步的防御功能,相应的网络安全产品必不可少,数据中心可以设置入侵检测以及防控功能,依据那些攻击行为监控数据中心的防控行为,并做好记录工作从而预防非法分子对数据中心的攻击。
2.4安全管理设备服务端口
服务端口的管理也是不可少的,在管理设备端口时,可以把端口设置为最小化。这就需要把一些作用不大的宽口和服务项目关闭,比如说IP直接广播、代理ARP、P源路由等等。而且还可以关闭HITP服务,WEB管理设备启用也要受到限制,访问限制可以通过访问控制列表,一些看起来不起眼的端口和服务千万不能轻易忽视。
2.5网络设计安全度要增强
网络设计的安全度也是需要考虑的一大重要问题,在建设网络的过程中需要遵循安全要求。首先要优化路由组织,可以采用统一规划地址的方法。其次路由的实用性和拓展性在设计中也至关重要。同时在选择设备时,要优先考虑具有NSF/SSO/ISsU功能的设备。全面考虑安全设备,加强网络设计的安全度,比如防火墙部署流量清洗。安全设备的防护需要具备应用层DDS的攻击力,这个攻击行为不会大量消耗宽带,特性很隐蔽。在大流量情况下可以考虑防DDS服务,将攻击流量引入DOS平台上清洗防控。
2.6对数据中心设备进行安全加固
(1)在网络设备上进行限定,只允许设备之间管理通信,并且限制设备登陆的数量和最大连接市场,对于支持SSH模式的设备,一律进行远程访问。对于需要进行外网操作的设备,使用VPN登陆是个不错的办法,用此办法登录到网管中心,将网管中心作为跳板,增强实用性。
(2)动态路由设备启用有很多要求,首先要使用MDS算法加密,保证路由信息可信度。设置被动接口的前提是针对那些没有必要参与动态路由的端口。为了避免路由被攻击,要在确定路由跳数情况下启用Bgpttlsecurity-check功能。
(3)服务威量配置要求
对每类流量进行标记重置,需要在对接处按照流量标准进行,这种情况是在对方服务质量标记规则与网内不一致时进行的,而且发生在信任域进行对接时,对于那些非信任域的流量标记应该将它重置为0。
(4)设备日志要求
日志功能包括很多项,在这之中必须包括的有:设备的访问配置、状态等、这些相关事件的来源时间等内容。那些高风险的事件会因此产生警告。日志信息会发送到服务器上,但是为了保障安全性必须要限制日志发送目的的设备。日志服务器上必须要保存原始设备日志,并且要保存到3个月以上。但是聚会层的设备要保存6个月以上的日志设备。安全管理平台接收信息主要通过系统日志通过接口传送。
(5)设备关键资源保护
使用RACL和COP,布置设备防护策略,设备处理能力得到有效保护,设备本身的安全性也会大大提高。
3 结束语
面对互联网应用如此广泛的现象,对于安全防护必不可少,这是保护当今社会大家利益义不容辞的责任。网络管理人员要不断进行学习创新,采用最科学的手段进行防护,对于不法分子的入侵和攻击要选取合理方式,不能盲目行动。当然防护措施的研究是个漫长的过程,需要网络安全员坚持不懈、积极探索,采用综合性的管理,从多角度方面考虑互联网的可靠程度。此文从方面角度分析,对数据中心的安全防护进行多方面的考虑防控,提出多种措施,但这些仍然不够,可靠的方案是不断更新的,以不变应万变。大家可以放心使用互联网离不开这些措施探讨,所以对于数据中心的网络安全防护具有重大意义,为了促进我国信息化时代安全并飞速发展,对于防护措施的研究任务仍然任重而道远。
参考文献:
[1] 乔健,徐靖.数据中心的网络设备安全防护[J].网络安全技术与应用,2018,209(5):41-42.
[2] 佟连刚.高校据中心机房安全防护体系构建研究[J].教育现代化,2015(14):69-70.
[3] 薛朝晖,向敏.零信任安全模型下的教据中心安全防护研究[J].通信技术,2017,50(6):1290-1294.
作者简介:陈剑财、男、汉、1980年10月25日、本科、计算机科学与技术、北京交通大学、高级工程师。